News Cyberangriff auf Tietoevry: Großer IT-Dienstleister verliert Kundendaten dauerhaft

Tzk schrieb:
Holt man sich dafür einen Dienstleister, ist man selbst (grösstenteils) aus der Verantwortung raus.
Das ist halt der Trugschluss. Man lagert die operative Verantwortung aus, die legale jedoch nicht. Das geht nur mit entsprechenden Passi in den Kundenverträgen. Und die Kunden können ihre Verantwortung ebenso nicht einfach abgeben.
In Ergebnis helfen die ganzen Verträge sowieso maximal bei Schadenersatzforderungen. Denn: Was unwiederbringlich weg ist, ist nun mal weg.
 
Zuletzt bearbeitet: (Ergänzung)
Ich bin nur eine einfache Privatperson. Aber selbst ich habe meine 3 USB Backupplatten stromlos im Schrank liegen. Die werden nur einzeln für ein Backup sync angeschlossen. Nie alle 3 gleichzeitig. Stichwort Angriffsschutz und Überspannung im Netz.

Habe ich jetzt einen Geheimtipp verraten? 🤣
 
lorpel schrieb:
Ich bin nur eine einfache Privatperson. Aber selbst ich habe meine 3 USB Backupplatten stromlos im Schrank liegen. Die werden nur einzeln für ein Backup sync angeschlossen. Nie alle 3 gleichzeitig. Stichwort Angriffsschutz und Überspannung im Netz.

Habe ich jetzt einen Geheimtipp verraten? 🤣
...ja du bist eine einfach Privatperson, da geht das so. Wenn Du Datenmengen im Umfang von 'zig Petabytes backuppen willst, wärest Du ganz schön am schleppen mit deinen USB-Platten...
 
  • Gefällt mir
Reaktionen: M@tze
Skysnake schrieb:
...
Das Risiko ist zu groß. Daher wird vom Gesetzgeber ne Ausnahme gemacht, damit man es trotzdem betreiben kann.
Ja. Mir ist schon klar, warum es so läuft wie es läuft und warum bestimmte Dinge nicht gemacht werden.
Trotzdem wäre es ja erstrebenswert diesen Zustand zu verbessern, auch wenns eher unrealistisch ist, das dies passieren wird.
Ändern tut sich ja meistens erst dann was, wenn das Problem flächenbrandmäßig groß wird, das man es nicht mehr ignorieren kann oder wenn die, die Entscheidungsmacht haben selbst betroffen sind.
 
Skysnake schrieb:
weil er eben durch die vielen Kunden in der Lage ist die ganzen extremen Investitionen zu stemmen um das wirklich sicher zu machen.
...
Und dazu halt noch Intrusion detection und Intrusion prevention Systeme sowie anomaly detection.
Das ist mir alles bekannt und dem Betreiber sicherlich auch. Kann mich da aber nur wieder selbst zitieren:
M@tze schrieb:
Die gibt es auch nicht. Erste Regel des Fightclubs der Security: 100% Sicherheit existiert nicht
Diese Regel wird eigentlich in jedem Kurs zum Thema IT Security genannt und geht eigentlich noch weiter:

100% Sicherheit existiert nicht! Wer sowas erzählt, ist entweder ein Lügner oder hat schlichtweg keine Ahnung!

Ich frage mich immer wieder wie man instant davon ausgeht, dass alle Anderen dümmer sind als man selber und dort nur Vollidioten arbeiten, die nichts von IT Security verstehen?!? Wenn irgendwann rauskommen sollte, dass der IT Dienstleister bei irgendwas geschlampt hat, können wir das gerne weiter diskutieren, aber solange nichts davon bekannt ist, möchte ich keine Dummheit oder Nachlässigkeit unterstellen.

Skysnake schrieb:
Naja, es gibt Stellen da willst du einfach nicht da jemand Fehler machen kann, selbst wenn er sich anstrengt. Ich sage mal Piloten und Kernkraftwerksbetreiber.
Du kannst den "menschlichen Fehler" aber nie ausschliessen. Siehe Tschernobyl oder Lufthansa Suizid. Bei IT Themen wird es immer 1 Person geben, welche die benötigten Befugnisse/Rechte hat um im Extremfall alles zu korrumpieren/löschen/...

lorpel schrieb:
Aber selbst ich habe meine 3 USB Backupplatten stromlos im Schrank liegen. Die werden nur einzeln für ein Backup sync angeschlossen. Nie alle 3 gleichzeitig. Stichwort Angriffsschutz und Überspannung im Netz.
Das ist löblich, aber nicht auf ein Rechenzentrum mit Petabytes an Daten übertragbar. 🤷‍♂️
 
Mir stellt sich überhaupt die Frage warum es möglich ist so eine große Datenmenge unbemerkt zu verschlüsseln.
Wenn schon das OS nix davon mitbekommt dann sollte es doch Zusatzprogramme geben die so etwas abfangen können oder?
 
M@tze schrieb:
Wenn irgendwann rauskommen sollte, dass der IT Dienstleister bei irgendwas geschlampt hat, können wir das gerne weiter diskutieren, aber solange nichts davon bekannt ist, möchte ich keine Dummheit oder Nachlässigkeit unterstellen.
Das mit der "100% Sicherheit kann es nicht geben" ist zwar faktisch richtig. Allerdings wird es halt gerne als Ausrede für Sicherheitsprobleme benutzt.
Denn 99% aller Angriffe sehe nicht so aus, das man sich Tom Cruise - mäßig irgendwie abseilt um ans Hochsicherheitsterminal zu kommen, sondern sehr viel profaner. Das genügt auch völlig, weils genug Leute/Unternehmen/Institutionen gibt, wo selbst einfachste Sicherheitsvorkehrungen nicht (oder nicht richtig) umgesetzt sind.

Die Fälle, wo man wirklich mal diesen 100%-Sicherheit-gibts-nicht-Spruch ziehen kann sind verschwindend(!) gering.
Logischerweise geht man natürlich aus, das wenn was passiert ist, der IT-Dienstleister geschlampt hat.

In der Praxis ist das natürlich etwas komplizierter und stumpfe Schuldzuweisungen helfen nicht weiter. Mangelnde IT-Sicherheit ist häufig eben nicht nur das Problem von Leuten, die Sicherheitsmaßnahmen implementieren (sollen). Die werden häufig tatsächlich nach besten Wissen und Gewissen arbeiten. Aber es gibt ja andere Faktoren. Allein der simple Umstand, das zwar alle IT-Sicherheit haben wollen aber keiner dafür bezahlen, macht es dann halt in der praktischen Ausführung schwierig.

Deshalb die Idee, man würde zumindest gewisse Dinge verpflichtend machen. Dann hebelt man ein stückweit das Kostenargument aus, weil man es dann machen muss und es schwieriger wird sich ein Kostenvorteil zu verschaffen, in dem man Sicherheit wegoptimiert.
Ergänzung ()

cbtestarossa schrieb:
Wenn schon das OS nix davon mitbekommt dann sollte es doch Zusatzprogramme geben die so etwas abfangen können oder?
Das OS bekommt sowieso nichts davon mit. Für das OS ist es völlig egal.
Aber ja. Prinzipiell kann man Angriffe detektieren. Wenn zum Beispiel mehr Änderungen an Daten stattfindet als normal. Eine Gegenstrategie des Angreifers ist dann wiederum, nicht zu sehr aktiv zu sein. Lieber über Wochen oder gar Monate sich Zeit zu lassen und immer nur ein paar Dateien zu verschlüsseln.

Man hat natürlich trotzdem Detektionsmöglichkeiten. Aber was ich sagen wollte: Ist schon ein bisschen schwieriger als "das OS müsste das doch merken".
 
  • Gefällt mir
Reaktionen: M@tze
Hm was ist eigentlich mit Snapshots. Wenn das Filesystem so etwas besitzt könnten Daten ja noch vorhanden sein. Wenn auch nicht alle.

Naja monatelang unauffällig verschlüsseln geht auch schwer. Außer wenn das Backup System ständig online wäre.
Außerdem stellt sich die Frage wie genau die Typen vorgingen um etwas zu verschlüsseln.
Wurde ein Programm dafür verwendet oder über das OS selbst.
 
Zuletzt bearbeitet:
cbtestarossa schrieb:
Naja monatelang unauffällig verschlüsseln geht auch schwer.
Weil?
Man muss es ja nicht unbedingt an unbrauchbaren Dateien merken. Es wurde ja hier schon eingeworfen, das die Schadsoftware ja bereits verschlüsselte Dateien beim lesen immer wieder entschlüsseln kann, so das da nix auffällt. Und erst ab Tag X wird dann nix mehr gemacht und man hat nur noch die verschlüsselten Daten.

cbtestarossa schrieb:
Außer wenn das Backup System ständig online wäre.
Naja. Wenn im Backup verschlüsselte Daten sind, nützt Dir das ja auch nicht viel. Klar könnten dann noch Dateien drin sein, die noch nicht verschlüsselt sind. Aber erstens sind das dann ja nicht alle und zweitens: Umso älter ein Backup ist, umso größer ist auch der Schaden. Da nützt es mir wenig, wenn ich irgendwie von letzter Woche noch ne Version hab, die noch intakt ist. Zumindest die Arbeit von der einen Woche ist futsch. Und wenns ne Terminarbeit war, dann ist der Schaden sogar noch größer, weil ich dann Ärger bekomme, das ich den dann nicht mehr einhalten kann.
 
  • Gefällt mir
Reaktionen: Miuwa, .Sentinel. und M@tze
Bei gewissen Daten ist übrigens der aktuelle Datensatz das wertvolle. Da kann man sich 4 Wochen alte Datensätze in die Haare schmieren.

Das reicht von der Industrie, wo man eventuell die aktuelle Produktion einstampfen kann (weil gewisse Prüfwerte fehlen) bis zum Versanddienstleiter. Ware bezahlt aber nicht erhalten, weil Daten fehlen.

Also hier zu sagen "kein Back-Up" kein Mitleid ist arg naiv.
 
andy_m4 schrieb:
Denn 99% aller Angriffe sehe nicht so aus, das man sich Tom Cruise - mäßig irgendwie abseilt um ans Hochsicherheitsterminal zu kommen, sondern sehr viel profaner. Das genügt auch völlig, weils genug Leute/Unternehmen/Institutionen gibt, wo selbst einfachste Sicherheitsvorkehrungen nicht (oder nicht richtig) umgesetzt sind.
Das ist mir schon klar. Es ist auch viel einfacher und sicherer, sich einfach intern einen Mitarbeiter zu suchen und diesen zur Zusammenarbeit zu "überreden". Sei es durch Erpressung oder Bestechung, egal. Und sobald der Angriff von Innen kommt, sind ein Großteil der Sicherheitsmechanismen sowieso schon ausgehebelt.

andy_m4 schrieb:
In der Praxis ist das natürlich etwas komplizierter und stumpfe Schuldzuweisungen helfen nicht weiter. Mangelnde IT-Sicherheit ist häufig eben nicht nur das Problem von Leuten, die Sicherheitsmaßnahmen implementieren (sollen). Die werden häufig tatsächlich nach besten Wissen und Gewissen arbeiten.
Das meine ich ja, dass hier niemand so einfach mit dem Finger auf den Dienstleister zeigen sollte. Das können auch Subunternehmen sein oder selbst die Management Etage. Wie oft hier bei uns in der (DAX) Firma vom Management unverschlüsselte Emails mit sensiblen Informationen verschickt werden oder unsignierte Mails mit Links/Anhang, obwohl alle seit Jahren geschult werden dass solche Mails signiert/verschlüsselt sein müssen und wenn sie es nicht sind, diese als Spam gelöscht werden sollen... 🤦‍♂️

Aber beim Management wird ja wieder ein Auge zugedrückt. Und irgendwann sind die Mitarbeiter gewohnt, dass Mails von Management unsigniert sind und erwischen dann eben doch eine Phishing Mail oder dergleichen.
 
andy_m4 schrieb:
Es wurde ja hier schon eingeworfen, das die Schadsoftware ja bereits verschlüsselte Dateien beim lesen immer wieder entschlüsseln kann, so das da nix auffällt. Und erst ab Tag X wird dann nix mehr gemacht und man hat nur noch die verschlüsselten Daten.
Das wäre natürlich besonders fies. Dafür müsste die Schadsoftware dann halt ständig im OS laufen.
Die Frage ist nun ob ein AV mit Verhaltensanalyse so etwas erkennen kann und ob so etwas überhaupt lief.
 
NJay schrieb:
„Tut mir leid Frau Müller, dass wir ihr Kind auf dem Kindergartenausflug verloren habe. Aber die Schuld liegt nicht bei uns, denn wir wissen nicht einmal, wie es verloren gehen konnte“
Mir ist vor lachen fast der Kaffee aus der Nase gespritzt :daumen:



Ich verstehe ja den Affekt der betroffenen Kunden, die auf die Zusicherung des Backups seitens Tietoevry verweisen und diesbezüglich auch die Verantwortung der Datenverfügbarkeit/Sicherheit die damit einhergeht.
Aber ich frage mich nach wie vor immer wieder, wie kann beim Thema des operativen Geschäfts, das Backup eines IT-Dienstleisters als Sicherung der eigenen Daten als Argument standhalten?
Das mag solange es läuft günstiger sein. Aber wie in diesem Falle steht man ggf. komplett blank da, wird in die Steinzeit befördert und hat nichts mehr was man tun kann. Viel mehr noch, der eigene Laden ist u.U. völlig arbeitsunfähig....
Beim Thema Ausfallsicherheit der Geschäftsprozesse (alias BCM) haben meines Erachtens auch die Kunden die einen schweren Schaden davon tragen, selbst deutlich verkackt.

Die Argumentation seitens Tietoevry bzgl. der eigenen IT-Sicherheit setzt dem ganzen die Krone auf. Soll vermutlich Satire (aus der Verzweiflung heraus) sein...
 
M@tze schrieb:
Diese Regel wird eigentlich in jedem Kurs zum Thema IT Security genannt und geht eigentlich noch weiter:

100% Sicherheit existiert nicht! Wer sowas erzählt, ist entweder ein Lügner oder hat schlichtweg keine Ahnung!
Sagt ja auch keiner...

Wenn einige Daten verschlüsselt worden wären ok. Selbst in Backups. Alle Backups wird schon schwierig. Wenn aber die Auditinfrastruktur mit Shops geht, dann ist das halt inakzeptabel.

Da musst du schon auch differenzieren. Das ist halt nicht 100% oder 99% Sicherheit die man da fodert/erwartet/bekommt sondern eher 1%. Du siehst die Diskrepanz?
M@tze schrieb:
Ich frage mich immer wieder wie man instant davon ausgeht, dass alle Anderen dümmer sind als man selber und dort nur Vollidioten arbeiten, die nichts von IT Security verstehen?!? Wenn irgendwann rauskommen sollte, dass der IT Dienstleister bei irgendwas geschlampt hat, können wir das gerne weiter diskutieren, aber solange nichts davon bekannt ist, möchte ich keine Dummheit oder Nachlässigkeit unterstellen.
Naja, wenn man den Anbieter komplett nackig macht, dann kann man schon davon ausgehen, das Schnitzer gemacht wurden. Frei nach Okhams Rasiermesser.
 
Sierra1505 schrieb:
Mir ist vor lachen fast der Kaffee aus der Nase gespritzt :daumen:
Gern geschehen.

:D
Sierra1505 schrieb:
Ich verstehe ja den Affekt der betroffenen Kunden, die auf die Zusicherung des Backups seitens Tietoevry verweisen und diesbezüglich auch die Verantwortung der Datenverfügbarkeit/Sicherheit die damit einhergeht.
Aber ich frage mich nach wie vor immer wieder, wie kann beim Thema des operativen Geschäfts, das Backup eines IT-Dienstleisters als Sicherung der eigenen Daten als Argument standhalten?
Das mag solange es läuft günstiger sein. Aber wie in diesem Falle steht man ggf. komplett blank da, wird in die Steinzeit befördert und hat nichts mehr was man tun kann. Viel mehr noch, der eigene Laden ist u.U. völlig arbeitsunfähig....
Ich kann es schon verstehen... Wenn du eine kleine Firma bist und nicht im IT-Bereich wird es ganz schnell verdammt teuer eine gute IT-Abteilung zu haben. Da ist es deutlich billige,r das ganze an Unternehmen auszulagern, die sich darauf spezialisieren. Der Pizza-Liefrrdienst wartet sein Auto ja auch nicht selbst, sondern gibt es in die Werkstatt.

Doch weil der Vergleich hinkt, ist es in der Praxis halt oft fatal. Denn viele Regeln aus anderen Bereichen gelten in der IT halt nicht, bzw. anders.
 
cbtestarossa schrieb:
Das wäre natürlich besonders fies. Dafür müsste die Schadsoftware dann halt ständig im OS laufen.
Die Frage ist nun ob ein AV mit Verhaltensanalyse so etwas erkennen kann und ob so etwas überhaupt lief.
...ist ja nicht so, dass die Ransomwareentwickler ihre Software nicht gegen alle großen Scanengines und Pattern laufen lassen können, um eine frühzeitige Erkennung ausschließen zu können....

...ist ja auch nicht so, dass Ransomwareentwickler nicht teils Exploits nutzen, um die Virenscan- Engines zu deaktivieren bzw. unbemerkt Ausnahmen hinzuzufügen...

Wirksame Zero- Day- Lücken zeichnen sich eben nunmal durch das aus, was der Name andeutet. Eine Erkennung und ein Gegenmittel sind nicht verfügbar, bis wiederum die Gegenseite, also die Hersteller von Schutzsoftware, nach Analyse zum Angriff blasen.

Katz- und Mausspiel, wobei die Angereifer eben immer das Überraschungsmoment auf ihrer Seite haben.
Somit gibt es keine Sicherheit, zumal wie weiter oben erwähnt auch der Faktor Mensch mit reinspielen kann und oftmals sogar erst das Einfallstor ist.
 
andy_m4 schrieb:
Zweitens wäre ne Abdeckung des Schadens. Man muss also Rückstellungen für den Schadensfall bilden oder eine Versicherung abschließen. Damit nicht wie hier die Kunden dumm da stehen, wenn doch mal was passiert.

Gewisse Sachen kann man nicht versichern. Wenn z.B. meine Krankheiten, DNA oder meine Fingerabdrücke öffentlich werden, dann nützt mir das viele Geld auch nichts. Falls man das überhaupt bekommt.
Siehe Strafen für die Unternehmen die, die dsgvo nicht eingehalten haben. Kundendaten wurden misbraucht aber der Kunde bekommt kein Cent.
 
Tobi-S. schrieb:
Wenn man Daten in der Cloud hat, dann hält man auch eine lokale Kopie und eine offline Kopie bereit. Zumindest wenn die Daten wichtig sind.
Was heißt Lokal. Wenn du mehrere Standorte/Niederlassungen/Geschäfte in Deutschland/der Welt hast, oder in verteilten Teams arbeitest sind die Daten immer mehrheitlich nicht lokal.

Und man kann auch als Cloudanbieter Daten ordentlich backupen. Amazon Web Services zum Beispiel:
Backup in selbst bestimmbaren Zeitintervallen auf eine andere Availability Zone. Dazu die Einstellung, dass die Versionierung erhalten bleibt und/oder dass Daten erst nach 24 Stunden bis mehreren Tagen gelöscht werden können.

Wobei natürlich die Frage bestehen bleibt, ob diese Mechanismen noch greifen, wenn irgendwer z.B. an den Amazon Webservices "Master Access Key" gelangt.

Andererseits muss man auch realistisch sein - wenn der Hacker große Cloud Anbieter erfolgreich angreift, dann sind die Daten auch lokal bei einem Durchschnittsunternehmen nicht sicher. Außer der Cloudanbieter war exorbitant inkompetent und/oder fahrlässig.
 
Zuletzt bearbeitet:
Zurück
Oben